Wann Dir d'Wuert "Kryptographie" héiert, erënneren e puer Leit un hiert WiFi Passwuert, de grénge Padlock nieft der Adress vun hirer Liiblingswebsäit, a wéi schwéier et ass fir an engem aneren seng E-Mail ze kommen. Anerer erënneren un eng Serie vu Schwachstelle an de leschte Joeren mat erzielen Ofkierzungen (DROWN, FREAK, POODLE ...), stylesch Logoen an eng Warnung fir dréngend Äre Browser ze aktualiséieren.
Cryptography deckt alles, mä Essenz vun an engem aneren. De Punkt ass datt et eng fein Linn tëscht einfach a komplex ass. E puer Saache sinn einfach ze maachen, awer schwéier erëm zesummenzestellen, wéi en Ee ze briechen. Aner Saache sinn einfach ze maachen, awer schwéier zeréck ze kréien wann e klengen, wichtegen, entscheedenden Deel feelt: Zum Beispill eng gespaart Dier opmaachen wann de "entscheedenden Deel" de Schlëssel ass. Cryptography studéiert dës Situatiounen a wéi se an der Praxis benotzt kënne ginn.
An de leschte Joren huet d'Sammlung vu kryptografeschen Attacken an en Zoo vu fläisseg Logoen ëmgewandelt, gefëllt mat Formulen aus wëssenschaftleche Pabeieren, an huet zu engem allgemenge düstere Gefill entstanen datt alles gebrach ass. Awer tatsächlech, vill vun den Attacke baséieren op e puer allgemeng Prinzipien, an endlos Säite vu Formelen ginn dacks op einfach ze verstoen Iddien gekacht.
An dëser Serie vun Artikelen wäerte mir op déi verschidden Zorte vu cryptographic Attacken kucken, mat engem Akzent op d'Basis Prinzipien. Am allgemengen an net genau an dëser Reiefolleg, awer mir wäerten déi folgend ofdecken:
- Basis Strategien: brute Force, Frequenzanalyse, Interpolatioun, Downgrading a Cross-Protokoller.
- Branded Schwachstelle: FREAK, CRIME, POODLE, DROWN, Logjam.
- Fortgeschratt Strategien: Orakelattacken (Vodenet Attack, Kelsey Attack); treffen-an-der-Mëtt Method, Gebuertsdag Attack, statistesch Bias (differential cryptanalyse, integral cryptanalyse, etc.).
- Säit Channel Attacken an hir enk Famill, Echec Analyse Methoden.
- Attacken op ëffentlech Schlëssel Kryptografie: Wierfel root, Emissioun, Zesummenhang Message, Coppersmith Attack, Pohlig-Hellman Algorithmus, Zuel sief, Wiener Attack, Bleichenbacher Attack.
Dëse speziellen Artikel deckt dat uewe genannte Material bis zum Kelsey seng Attack.
Basis Strategien
Déi folgend Attacke sinn einfach am Sënn datt se bal komplett ouni vill technesch Detailer erkläert kënne ginn. Loosst eis all Zort Attack am einfachsten erklären, ouni a komplexe Beispiller oder fortgeschratt Benotzungsfäll ze goen.
E puer vun dësen Attacke si gréisstendeels veroudert ginn a si fir vill Jore net benotzt ginn. Anerer sinn Oldtimer, déi ëmmer nach regelméisseg op unsuspecting Kryptosystem Entwéckler am 21. D'Ära vun der moderner Kryptografie kann ugesi ginn als ugefaang mat der Advent vun IBM DES, dem éischte Chiffer, deen all d'Attacke op dëser Lëscht widderstanen huet.
Einfach brute Kraaft
D'Verschlësselungsschema besteet aus zwee Deeler: 1) d'Verschlësselungsfunktioun, déi e Message (Kleintext) kombinéiert mat engem Schlëssel hëlt, an dann eng verschlësselte Message erstellt - Chiffertext; 2) eng Entschlësselungsfunktioun déi de Chiffertext a Schlëssel hëlt a Kloertext produzéiert. Béid Verschlësselung an Entschlësselung musse einfach sinn mat dem Schlëssel ze berechnen - a schwéier ze berechnen ouni et.
Loosst eis unhuelen datt mir de Chiffertext gesinn a probéieren et ouni zousätzlech Informatioun ze entschlësselen (dëst gëtt eng Chiffertext-Attack genannt). Wa mir iergendwéi magesch de richtege Schlëssel fannen, kënne mir einfach verifizéieren datt et wierklech richteg ass wann d'Resultat e vernünfteg Message ass.
Notéiert datt et zwee implizit Viraussetzungen hei sinn. Als éischt wësse mir wéi d'Entschlësselung ausféiert, dat heescht wéi de Kryptosystem funktionnéiert. Dëst ass eng Standard Viraussetzung wann Dir iwwer Kryptografie diskutéiert. D'Implementéierungsdetailer vum Chiffer vun den Ugräifer verstoppen kann wéi eng zousätzlech Sécherheetsmoossnam schéngen, awer wann den Ugräifer dës Detailer erausfënnt, ass dës zousätzlech Sécherheet roueg an irreversibel verluer. Dat ass wéi : De System, deen an d'Hänn vum Feind falen, sollt keng Nodeeler verursaachen.
Zweetens, mir huelen un datt de richtege Schlëssel deen eenzege Schlëssel ass deen zu enger raisonnabel Entschlësselung féiert. Dëst ass och eng raisonnabel Viraussetzung; et ass zefridden wann de Chiffertext vill méi laang ass wéi de Schlëssel a liesbar ass. Dëst ass normalerweis wat an der realer Welt geschitt, ausser oder (wann Dir dat net gär hutt, hu mir d'Erklärung iwwersprangen, kuckt w.e.g. Theorem 3.8 ).
Kritt der uewen, eng Strategie entsteet: kontrolléiert all méiglech Schlëssel. Dëst gëtt brute Force genannt, an esou en Attack ass garantéiert géint all praktesch Chifferen ze schaffen - schlussendlech. Zum Beispill ass brute Kraaft genuch fir ze hacken , en antike Chiffer wou de Schlëssel ee Buschtaf vum Alphabet ass, wat just iwwer 20 méiglech Schlësselen implizéiert.
Leider fir Kryptoanalytiker ass d'Erhéijung vun der Schlësselgréisst eng gutt Verteidegung géint brute Kraaft. Wéi d'Schlësselgréisst eropgeet, erhéicht d'Zuel vu méigleche Schlësselen exponentiell. Mat modernen Schlësselgréissten ass einfach brute Kraaft komplett onpraktesch. Fir ze verstoen wat mir mengen, loosst eis de schnellsten bekannte Supercomputer ab Mëtt 2019 huelen: vun IBM, mat Héichpunkt Leeschtung vun ongeféier 1017 Operatiounen pro Sekonn. Haut ass déi typesch Schlëssellängt 128 Bits, dat heescht 2128 méiglech Kombinatioune. Fir duerch all d'Schlësselen ze sichen, brauch de Summit Supercomputer Zäit déi ongeféier 7800 Mol am Alter vum Universum ass.
Soll brute Kraaft als historesch Virwëtz ugesi ginn? Iwwerhaapt net: et ass en noutwendegen Zutat am Kryptoanalyse Kachbuch. Selten sinn d'Chiffer sou schwaach, datt se nëmmen duerch eng clever Attack gebrach ginn, ouni d'Benotzung vu Kraaft zu engem Grad oder aneren. Vill erfollegräich Hacks benotzen eng algorithmesch Method fir d'Zilchiffer als éischt ze schwächen, an dann e brute Force Attack auszeféieren.
Frequenz Analyse
Déi meescht Texter sinn net gibberish. Zum Beispill, an engleschen Texter ginn et vill Buschtawen 'e' an Artikelen 'der'; a binäre Dateien ginn et vill Nullbytes als Padding tëscht Informatiounsstécker. Frequenzanalyse ass all Attack dee vun dëser Tatsaach profitéiert.
Dat kanonescht Beispill vun engem Chiffer vulnérabel fir dësen Attack ass den einfachen Ersatzchiffer. An dësem Chiffer ass de Schlëssel en Dësch mat all de Buschtawen ersat. Zum Beispill gëtt 'g' duerch 'h' ersat, 'o' duerch j, sou datt d'Wuert 'go' gëtt 'hj'. Dëse Chiffer ass schwéier ze brutal Kraaft well et sou vill méiglech Lookup Dëscher sinn. Wann Dir un der Mathematik interesséiert sidd, ass déi effektiv Schlëssellängt ongeféier 88 Bits: dat ass
. Awer d'Frequenzanalyse kritt normalerweis d'Aarbecht séier gemaach.
Betruecht de folgende Chiffertext veraarbecht mat engem einfachen Ersatzchiffer:
XDYLY ALY UGLY XDWNKE WN DYAJYN ANF YALXD DGLAXWG XDAN ALY FLYAUX GR WN OGQL ZDWBGEGZDO
Zënter dem Y geschitt dacks, och um Enn vu ville Wierder, kënne mir tentativ unhuelen datt dëst de Bréif ass e:
XDeLe ALe UGLe XDWNKE WN DeAJeN ANF eALXD DGLAXWG XDAN ALe FLeAUX GR WN OGQL ZDWBGEGZDO
Couple XD widderholl am Ufank vu verschiddene Wierder. Besonnesch d'Kombinatioun XDeLe proposéiert d'Wuert kloer these oder there, also loosst eis weidergoen:
theLe ALe UGLe thWNKE WN heAJeN ANF eALth DGLAtWG THAN ALE FLeAUt GR WN OGQL ZDWBGEGZDO
Loosst eis dat weider unhuelen L entsprécht r, A - a a sou weider. Et wäert wahrscheinlech e puer Versuche daueren, awer am Verglach mat engem komplette brute Force Attack, restauréiert dësen Attack den originelle Text a kuerzer Zäit:
et gi méi Saachen am Himmel an der Äerd horatio wéi vun Ärer Philosophie gedreemt ginn
Fir e puer, esou "Kryptogrammer" ze léisen ass e spannenden Hobby.
D'Iddi vun der Frequenzanalyse ass méi fundamental wéi et op den éischte Bléck schéngt. An et gëllt fir vill méi komplex Chifferen. Duerch d'Geschicht hu verschidde Chifferentwécklungen probéiert sou en Attack mat "polyalphabeteschen Ersatz" ze entgéintwierken. Hei, während dem Verschlësselungsprozess, gëtt de Bréifsubstitutiounstabell op komplexen awer prévisibel Weeër geännert, déi vum Schlëssel ofhängeg sinn. All dës Chiffere goufen als schwéier gläichzäiteg ze briechen; an awer modest Frequenz Analyse schlussendlech se all besiegt.
De ambitiéisste polyalphabeteschen Chiffer an der Geschicht, a wahrscheinlech de bekanntste, war den Enigma Chiffer vum Zweete Weltkrich. Et war relativ komplex am Verglach zu senge Virgänger, mä no vill haarder Aarbecht, britesch cryptanalysts geknackt et benotzt Frequenz Analyse. Natierlech konnten se net en eleganten Ugrëff entwéckelen wéi deen uewen gewisen; si hu misse bekannte Puer vu Kloertext a Chiffertext vergläichen (de sougenannte "Klärtextattack"), souguer Enigma Benotzer provozéiert fir verschidde Messagen ze verschlësselen an d'Resultat ze analyséieren ("de gewielte Kloertextattack"). Awer dëst huet d'Schicksal vun de besiegten feindlechen Arméien a versenkten U-Booter net méi einfach gemaach.
No dësem Triumph ass d'Frequenzanalyse aus der Geschicht vun der Kryptoanalyse verschwonnen. Chifferen an der moderner digitaler Zäit sinn entwéckelt fir mat Bits ze schaffen, net Bréiwer. Méi wichteg, dës Chiffere goufen mam donkele Verständnis entworf vun deem wat spéider bekannt gouf : Jiddereen kann e Verschlësselungsalgorithmus erstellen deen se selwer net briechen. Et ass net genuch fir de Verschlësselungssystem schéngt schwéier: fir säi Wäert ze beweisen, muss et eng barmhäerzlech Sécherheetsrevisioun vu ville Kryptoanalytiker ënnergoen, déi hir Bescht maachen fir de Chiffer ze knacken.
Virleefeg Berechnungen
Huelt déi hypothetesch Stad Precom Heights, Bevëlkerung 200. All Haus an der Stad enthält eng Moyenne vun $ 000 Wäert vun Wäertstoffer, awer net méi wéi $ 30 Wäert. D'Sécherheetsmaart zu Precom ass monopoliséiert vun ACME Industries, déi de legendären Coyote ™ Klass Dier Schleisen produzéiert. No Expert Analyse kann e Coyote-Klass Spär nëmmen duerch eng ganz komplex hypothetesch Maschinn gebrach ginn, der Kreatioun vun deem verlaangt ronn fënnef Joer an $ 000 an Investitioun. Ass d'Stad sécher?
Wahrscheinlech nee. Schliisslech erschéngt en zimlech ambitiéise Kriminell. Hie wäert esou begrënnen: "Jo, ech wäert grouss Upfront Käschten maachen. Fënnef Joer Patient waarden, a $ 50 000. Awer wann ech fäerdeg sinn, hunn ech Zougang zu all de Räichtum vun dëser Stad. Wann ech meng Kaarte richteg spillen, wäert dës Investitioun sech vill Mol bezuelen.
Datselwecht ass wouer an der Kryptografie. Attacke géint e bestëmmte Chiffer ënnerleien enger ruthless Käschte-Virdeeler Analyse. Wann de Verhältnis gënschteg ass, wäert d'Attack net geschéien. Awer Attacke, déi géint vill potenziell Affer gläichzäiteg funktionnéieren, bezuele bal ëmmer, an deem Fall ass déi bescht Designpraxis unzehuelen datt se vum Dag een ugefaangen hunn. Mir hunn am Fong eng kryptographesch Versioun vum Murphy's Law: "Alles wat de System briechen kann, wäert de System briechen."
Dat einfachst Beispill vun engem Kryptosystem dee vulnérabel ass fir e Precomputation Attack ass e konstante Schlëssellos Chiffer. Dëst war de Fall mat , déi einfach all Buschtaf vum Alphabet dräi Buschtawen no vir verréckelt (den Dësch ass geschloen, sou datt de leschte Buschtaf am Alphabet drëtt verschlësselt gëtt). Hei kënnt erëm de Kerchhoffs-Prinzip an d'Spill: eemol e System gehackt ass, gëtt e fir ëmmer gehackt.
D'Konzept ass einfach. Och en Ufänger Kryptosystem Entwéckler wäert wahrscheinlech d'Drohung erkennen an deementspriechend virbereeden. Wann Dir d'Evolutioun vun der Kryptographie kuckt, waren esou Attacke fir déi meescht Chifferen onpassend, vun den éischte verbesserte Versioune vum Caesar Chiffer bis zum Ënnergang vu polyalphabetesch Chifferen. Esou Attacke sinn eréischt mam Advent vun der moderner Ära vun der Kryptografie zréckkomm.
Dëse Retour ass wéinst zwee Faktoren. Als éischt sinn endlech genuch komplex Kryptosystemer opgetaucht, wou d'Méiglechkeet vun der Ausbeutung nom Hacking net evident war. Zweetens, d'Kryptographie gouf sou verbreet datt Millioune vu Laien all Dag Entscheedunge getraff hunn iwwer wou a wéi eng Deeler vun der Kryptografie fir nei ze benotzen. Et huet e bëssen Zäit gedauert ier Experten d'Risiken erkannt hunn an den Alarm gemaach hunn.
Erënneren der Precomputation Attack: um Enn vum Artikel wäerte mir zwee real-Liewen cryptographic Beispiller kucken wou et eng wichteg Roll gespillt huet.
Interpolatioun
Hei ass de berühmten Detektiv Sherlock Holmes, deen en Interpolatiounsattack op den haplessen Dr. Watson mécht:
Ech hunn direkt virgestallt datt Dir aus Afghanistan komm sidd ... Meng Gedankenzuch war wéi follegt: "Dëse Mann ass en Dokter vun Typ, awer hien huet e Militärlager. Also, e Militärdokter. Hien ass just aus den Tropen ukomm - säi Gesiicht ass donkel, awer dëst ass net den natierleche Schiet vu senger Haut, well seng Handgelenk vill méi wäiss sinn. D'Gesiicht ass häerzlech - selbstverständlech huet hien vill gelidden an u Krankheet gelidden. Hie gouf a senger lénkser Hand blesséiert - hien hält se onbeweeglech an e bëssen onnatierlech. Wou an den Tropen konnt en englesche Militärdokter Schwieregkeeten aushalen a blesséiert ginn? Natierlech, an Afghanistan." De ganze Gedankenzuch huet net emol eng Sekonn gedauert. An dofir hunn ech gesot datt Dir aus Afghanistan komm sidd, an Dir sidd iwwerrascht.
Holmes konnt ganz wéineg Informatioun aus all Beweiser individuell extrahéieren. Hie konnt nëmme seng Conclusioun erreechen andeems se se all zesummen berécksiichtegt. En Interpolatiounsattack funktionnéiert ähnlech andeems bekannte Kloertext- a Chiffertextpaaren ënnersicht ginn, déi aus dem selwechte Schlëssel entstinn. Vun all Paar ginn individuell Observatioune extrahéiert, déi et erlaben eng allgemeng Conclusioun iwwer de Schlëssel ze zéien. All dës Conclusiounen sinn vague a schéngen nutzlos bis se op eemol eng kritesch Mass erreechen an zu der eenzeger méiglecher Konklusioun féieren: Egal wéi onheemlech et ass, et muss richteg sinn. Duerno gëtt entweder de Schlëssel opgedeckt, oder den Entschlësselungsprozess gëtt sou raffinéiert datt et replizéiert ka ginn.
Loosst eis mat engem einfache Beispill illustréieren wéi d'Interpolatioun funktionnéiert. Loosst eis soen, mir wëllen de perséinlechen Tagebuch vun eisem Feind, Bob, liesen. Hien verschlësselt all Zuel a sengem Journal mat engem einfachen Kryptosystem, deen hien aus enger Annonce an der Zäitschrëft "A Mock of Cryptography" geléiert huet. De System funktionnéiert esou: De Bob wielt zwou Zuelen déi him gär hunn: и . Vun elo un, fir all Nummer ze verschlësselen , et berechent . Zum Beispill, wann Bob gewielt и , dann d'Zuel wäert verschlësselte wéi .
Loosst eis soen, datt mir den 28. Dezember gemierkt hunn, datt de Bob eppes a sengem Tagebuch kraazt. Wann hien fäerdeg ass, wäerte mir et roueg ophuelen an déi lescht Entrée kucken:
Datum:
235/520Léift Tagebuch,
Haut war e gudden Dag. Duerch
64haut hunn ech en Datum mat Alisa, déi an engem Appartement wunnt843. Ech mengen wierklech si kéint ginn26!
Well mir ganz eescht sinn iwwer de Bob op sengem Datum ze verfollegen (mir sinn 15 Joer aal an dësem Szenario), et ass kritesch den Datum souwéi dem Alice seng Adress ze wëssen. Glécklecherweis bemierken mir datt dem Bob säi Kryptosystem vulnérabel ass fir en Interpolatiounsattack. Mir wëssen vläicht net и , mee mir kennen den Datum vun haut, also hu mir zwee Kloertext-Chiffertext-Paren. Mir wëssen dat nämlech verschlësselte an an - an . Dëst ass wat mir schreiwen:
Well mir 15 Joer al sinn, wësse mer schonn iwwer e System vun zwou Equatioune mat zwee Onbekannten, déi an dëser Situatioun genuch ass fir ze fannen и ouni Problemer. All Kloertext-Chiffertext Pair stellt eng Aschränkung op dem Bob säi Schlëssel, an déi zwee Contrainten zesummen si genuch fir de Schlëssel komplett ze recuperéieren. An eisem Beispill ass d'Äntwert и (op , esou 26 am Tagebuch entsprécht dem Wuert 'deen', dat heescht "déi selwecht" - ca. Streck).
Interpolatiounsattacke sinn natierlech net op sou einfach Beispiller limitéiert. All Kryptosystem, deen op e gutt verstane mathemateschen Objet an eng Lëscht vu Parameteren reduzéiert, riskéiert en Interpolatiounsattack - wat méi verständlech den Objet ass, dest méi héich ass de Risiko.
Newcomer beschwéieren dacks datt d'Kryptographie "d'Konscht ass fir Saachen esou ellen wéi méiglech ze designen." Interpolatiounsattacke si wahrscheinlech gréisstendeels Schold. De Bob kann entweder en elegante mathematesche Design benotzen oder säin Datum mam Alice privat halen - awer leider, Dir kënnt et normalerweis net op béide Weeër hunn. Dëst wäert vill kloer ginn wa mir schlussendlech op d'Thema vun der ëffentlecher Schlëssel Kryptografie kommen.
Kräiz Protokoll / Downgrade
An Now You See Me (2013) probéiert eng Grupp vun Illusionisten de korrupte Versécherungsmagnat Arthur Tressler aus sengem ganze Verméigen ze betrügen. Fir Zougang zum Arthur säi Bankkonto ze kréien, mussen d'Illusiounisten entweder säi Benotzernumm a Passwuert ubidden oder hie forcéiere fir perséinlech op der Bank opzekommen an um Schema deelzehuelen.
Béid Optioune si ganz schwéier; D'Kärelen si gewinnt op der Bühn ze spillen an net un Intelligenzoperatiounen deelzehuelen. Also wielen si déi drëtt méiglech Optioun: hire Kompliz rifft d'Bank a mécht sech als Arthur. D'Bank stellt verschidde Froen fir d'Identitéit z'iwwerpréiwen, wéi zum Beispill den Numm vum Monni an den Numm vum éischte Hausdéier; eis Helden am Viraus . Vun dësem Punkt un ass exzellent Passwuertsécherheet net méi wichteg.
(No enger urbaner Legend, déi mir perséinlech verifizéiert a verifizéiert hunn, huet de Kryptograf Eli Beaham eng Kéier e Bankteller begéint, deen op eng Sécherheetsfro insistéiert huet. kleng y, dräi ... ").
Et ass d'selwecht an der Kryptografie, wann zwee kryptographesch Protokoller parallel benotzt gi fir dee selwechte Verméigen ze schützen, an deen een ass vill méi schwaach wéi deen aneren. De resultéierende System gëtt vulnérabel fir e Cross-Protokoll Attack, wou e méi schwaache Protokoll attackéiert gëtt fir op de Präis ze kommen ouni dee méi staarken ze beréieren.
An e puer komplexe Fäll ass et net genuch fir einfach de Server mat engem méi schwaache Protokoll ze kontaktéieren, awer erfuerdert d'onfräiwëlleg Participatioun vun engem legitimen Client. Dëst kann mat der sougenannter Downgrade Attack organiséiert ginn. Fir dës Attack ze verstoen, loosst eis dovun ausgoen, datt eis Illusionisten eng méi schwéier Aufgab hunn wéi am Film. Loosst eis dovun ausgoen datt e Bankemployé (Kassierer) an den Arthur e puer onerwaart Ëmstänn begéint hunn, wat zu folgenden Dialog gefouert huet:
Abriecher: Hallo? Dëst ass den Arthur Tressler. Ech wéilt mäi Passwuert zrécksetzen.
Caissiere: Super. Kuckt w.e.g. Äre perséinleche Geheimcodebuch, Säit 28, Wuert 3. All folgend Messagen ginn verschlësselt mat dësem spezifesche Wuert als Schlëssel. PQJGH. LOTJNAM PGGY MXVRL ZZLQ SRIU HHNMLPPPV…
Abriecher: Hey, hey, waart, waart. Ass dat wierklech néideg? Kënne mir net just wéi normal Leit schwätzen?
Caissiere: Ech recommandéieren net dëst ze maachen.
Abriecher: Ech just ... kuckt, ech hat e schlechten Dag, ok? Ech sinn e VIP Client an ech sinn net an der Stëmmung duerch dës domm Code Bicher ze gräifen.
Caissiere: Gutt. Wann Dir insistéiert, Här Tressler. Wat wëlls du?
Abriecher: Wann ech glift, ech wéilt all meng Suen un den Arthur Tressler National Affer Fund spenden.
(Paus).
Caissiere: Ass et elo kloer. Gitt weg Är PIN fir grouss Transaktiounen.
Abriecher: Meng wat?
Caissiere: Op Är perséinlech Ufro, Transaktioune vun dëser Gréisst verlaangen e PIN fir grouss Transaktiounen. Dëse Code gouf Iech kritt wann Dir Äre Kont opgemaach hutt.
Abriecher:... Ech hunn et verluer. Ass dat wierklech néideg? Kënnt Dir den Deal net einfach stëmmen?
Caissiere: Nee. Et deet mir leed, Här Tressler. Nach eng Kéier, dëst ass d'Sécherheetsmoossnam, déi Dir gefrot hutt. Wann Dir wëllt, kënne mir en neie PIN-Code an Är Mailbox schécken.
Eis Helden posten d'Operatioun. Si Oflauschterskandal op e puer vun Tressler d'grouss Transaktiounen, gehofft der PIN ze héieren; awer all Kéier wann d'Gespréich zu kodéierte Gibberish verwandelt ier eppes Interessantes gesot gëtt. Endlech, e schéinen Dag, gëtt de Plang ëmgesat. Si waarden gedëlleg op dee Moment, wou den Tressler eng grouss Transaktioun iwwer den Telefon muss maachen, hien ass op d'Linn, an dann...
Tressler: Hallo. Ech wéilt gär eng Ferntransaktioun ofschléissen, wann ech glift.
Caissiere: Super. Kuckt w.e.g. Äert perséinlecht Geheimcodebuch, Säit ...
(Den Abriecher dréckt op de Knäppchen; d'Stëmm vum Keesseberäich gëtt an onverständleche Kaméidi).
Caissiere: - #@$#@$#*@$$@#* gëtt mat dësem Wuert als Schlëssel verschlësselt. AAAYRR PLRQRZ MMNJK LOJBAN…
Tressler: Sorry, ech hunn et net ganz verstanen. Nach eng Kéier? Op wéi enger Säit? Wéi eng Wuert?
Caissiere: Dëst ass d'Säit @#$@#*$)#*#@()#@$(#@*$(#@*.
Tressler: Wat?
Caissiere: Wuert Nummer zwanzeg @$#@$#%#$.
Tressler: Eescht! Schon genuch! Dir an Äre Sécherheetsprotokoll sinn eng Zort Zirkus. Ech weess, datt Dir einfach mat mir normalerweis schwätzen kann.
Caissiere: Ech recommandéieren net…
Tressler: An ech roden Iech net meng Zäit ze verschwenden. Ech wëll net méi iwwer dëst héieren bis Dir Är Telefonslinnproblemer fixéiert. Kënne mir dësen Deal finaliséieren oder net?
Caissiere:… Jo. Gutt. Wat wëlls du?
Tressler: Ech wéilt $ 20 un Lord Business Investments transferéieren, Kontosnummer ...
Caissiere: Eng Minutt, wann ech glift. Et ass eng grouss Saach. Gitt weg Är PIN fir grouss Transaktiounen.
Tressler: Waat? Oh, genee. 1234.
Hei ass en Downward Attack. De méi schwaache Protokoll "schwätzt just direkt" gouf virgesinn als Optioun am Noutfall. An awer hei si mir.
Dir kënnt Iech froen, wien an hirem richtege Geescht e richtege "Sécher bis anescht gefrot" System designt wéi deen hei uewen beschriwwen. Awer sou wéi eng fiktiv Bank Risiken hëlt fir Clienten ze halen déi keng Kryptografie gär hunn, zéien Systemer allgemeng dacks op Ufuerderungen déi indifferent sinn oder souguer direkt feindlech géint Sécherheet sinn.
Dëst ass genau wat mam SSLv2 Protokoll am Joer 1995 geschitt ass. D'US Regierung huet laang ugefaang d'Kryptographie als eng Waff ze gesinn, déi am beschten ewech vun auslänneschen an auslännesche Feinde gehale gëtt. Code Stécker goufen individuell fir Export aus den USA guttgeheescht, dacks mat der Bedingung datt den Algorithmus bewosst geschwächt gouf. Netscape, den Entwéckler vum populärste Browser, Netscape Navigator, krut d'Erlaabnis fir SSLv2 nëmme mat dem inherent vulnérable 512-Bit RSA Schlëssel (an 40-Bit fir RC4).
Um Enn vum Joerdausend waren d'Regele entspaant an den Zougang zu moderner Verschlësselung gouf wäit verfügbar. Wéi och ëmmer, Clienten a Server hunn geschwächt "Export" Kryptografie fir Joeren ënnerstëtzt wéinst der selweschter Inertie déi Ënnerstëtzung fir all Legacy System hält. Clienten hunn gegleeft datt se e Server begéinen deen näischt anescht ënnerstëtzt. D'Serveren hunn datselwecht gemaach. Natierlech diktéiert de SSL Protokoll datt Clienten a Server ni e schwaache Protokoll benotzen wann e bessere verfügbar ass. Awer déi selwecht Viraussetzung huet fir Tressler a seng Bank applizéiert.
Dës Theorie huet de Wee an zwee héichprofiléiert Attacke fonnt, déi d'Sécherheet vum SSL Protokoll am Joer 2015 gerëselt hunn, souwuel entdeckt vu Microsoft Fuerscher an . Als éischt goufen d'Detailer vum FREAK-Attack am Februar opgedeckt, gefollegt dräi Méint méi spéit vun engem aneren ähnlechen Attack mam Numm Logjam, déi mir méi am Detail diskutéieren wa mir weidergoen op Attacken op ëffentlech Schlësselkryptographie.
Schwachstelle (och bekannt als "Smack TLS") koum un d'Liicht wéi d'Fuerscher TLS Client / Server Implementatiounen analyséiert hunn an e virwëtzeg Feeler entdeckt hunn. An dësen Implementatiounen, wann de Client net emol freet fir schwaach Exporter Kryptografie ze benotzen, awer de Server nach ëmmer mat sou Schlësselen reagéiert, seet de Client "Oh well" a wiesselt op eng schwaach Chiffer Suite.
Zu där Zäit gouf d'Exportkryptographie wäit als al an off-limitéiert ugesinn, sou datt d'Attack als komplette Schock koum a vill wichteg Domainen beaflosst, dorënner d'Wäiss Haus, d'IRS an d'NSA Siten. Nach méi schlëmm, et stellt sech eraus datt vill vulnerabel Server d'Performance optimiséiert hunn andeems se déiselwecht Schlësselen nei benotzen anstatt nei fir all Sessioun ze generéieren. Dëst huet et méiglech gemaach, nom Ofbau vum Protokoll, e Pre-Berechnungattack auszeféieren: Knacken vun engem Schlëssel blouf relativ deier ($ 100 an 12 Stonnen an der Zäit vun der Verëffentlechung), awer d'praktesch Käschte fir d'Verbindung ze attackéieren waren däitlech reduzéiert. Et ass genuch fir de Serverschlëssel eemol ze wielen an d'Verschlësselung fir all spéider Verbindunge vun deem Moment un ze knacken.
A ier mer weidergoen, gëtt et eng fortgeschratt Attack déi erwähnt muss ginn ...
Oracle Attack
beschte bekannt als de Papp vun der Kräiz-Plattform Krypto Messagerie App Signal; mee mir perséinlech gär eng vu senge manner bekannten Innovatiounen - (Kryptographesch Doom Prinzip). Fir e bëssen ze paraphraséieren, kënne mir dëst soen: "Wann de Protokoll funktionnéiert iergendeen mécht eng kryptographesch Operatioun op e Message aus enger potenziell béiswëlleger Quell a behält sech anescht ofhängeg vum Resultat, et ass veruerteelt." Oder an enger méi schaarfer Form: "Huelt keng Informatioun vum Feind fir d'Veraarbechtung, a wann Dir musst, dann op d'mannst d'Resultat net weisen."
Loosst eis Puffer Iwwerschwemmungen, Kommandoinjektiounen an dergläiche loossen; si sinn iwwer den Ëmfang vun dëser Diskussioun. Violatioun vum "Doom-Prinzip" féiert zu eeschte Kryptografie-Hacks wéinst der Tatsaach, datt de Protokoll genee wéi erwaart verhält.
Als Beispill, loosst eis e fiktiven Design mat engem vulnérablen Ersatzschiffer huelen, an dann e méiglechen Attack demonstréieren. Iwwerdeems mir schonn en Ugrëff op eng Substitutioun Chiffer benotzt Frequenz Analyse gesinn hunn, et ass net nëmmen "en anere Wee fir déi selwecht Chiffer ze Paus." Am Géigendeel, Orakelattacke sinn eng vill méi modern Erfindung, applicabel fir vill Situatiounen, wou d'Frequenzanalyse klappt, a mir wäerten eng Demonstratioun vun dësem an der nächster Rubrik gesinn. Hei gëtt den einfachen Chiffer just gewielt fir d'Beispill méi kloer ze maachen.
Also Alice a Bob kommunizéieren mat engem einfachen Ersatzschiffer mat engem Schlëssel deen nëmme fir si bekannt ass. Si si ganz strikt iwwer d'Längt vun de Messagen: si si genee 20 Zeechen laang. Also si si sech eens, datt wann iergendeen e méi kuerze Message wëlle schécken, e puer Dummy-Text um Enn vun der Noriicht sollte addéieren, fir datt et genee 20 Zeechen ass. No e puer Diskussiounen hunn si decidéiert datt se nëmmen déi folgend Dummy Texter akzeptéieren: a, bb, ccc, dddd asw.. Also ass en Dummy-Text vun all erfuerderlecher Längt bekannt.
Wann d'Alice oder de Bob e Message kréien, kontrolléiere se fir d'éischt datt de Message déi richteg Längt ass (20 Zeechen) an datt de Suffix de richtege Dummy Text ass. Wann dat net de Fall ass, da reagéiere se mat enger passender Fehlermeldung. Wann d'Textlängt an den Dummy-Text ok sinn, liest den Empfänger de Message selwer a schéckt eng verschlësselte Äntwert.
Wärend der Attack, den Ugräifer impersonéiert de Bob a schéckt falsch Messagen un d'Alice. D'Botschafte si komplett Blödsinn - den Ugräifer huet net de Schlëssel, an dofir kann net e sënnvoll Message formuléieren. Awer well de Protokoll den Doomprinzip verletzt, kann en Ugräifer nach ëmmer d'Alice trape fir d'Schlësselinformatioun z'entdecken, wéi hei ënnendrënner.
Abriecher:
PREWF ZHJKL MMMN. LAAlice: Invalid Dummy Text.
Abriecher:
PREWF ZHJKL MMMN. LBAlice: Invalid Dummy Text.
Abriecher:
PREWF ZHJKL MMMN. LCAlice:
ILCT? TLCT RUWO PUT KCAW CPS OWPOW!
Den Abriecher huet keng Ahnung wat d'Alice just gesot huet, awer bemierkt datt d'Symbol C muss Match a, well d'Alice den Dummy-Text ugeholl huet.
Abriecher:
REWF ZHJKL MMMN. LAAAlice: Invalid Dummy Text.
Abriecher:
REWF ZHJKL MMMN. LBBAlice: Invalid Dummy Text.
No e puer Versich ...
Abriecher:
REWF ZHJKL MMMN. LGGAlice: Invalid Dummy Text.
Abriecher:
REWF ZHJKL MMMN. LHHAlice:
TLQO JWCRO FQAW SUY LCR C OWQXYJW. IW PWWR TU TCFA CHUYT TLQO JWFCTQUPOLQZ.
Erëm, den Ugräifer huet keng Ahnung wat d'Alice just gesot huet, awer bemierkt datt H muss b passen well d'Alice den Dummy-Text ugeholl huet.
A sou weider bis den Ugräifer d'Bedeitung vun all Charakter weess.
Op den éischte Bléck gläicht d'Method e gewielte Kloertextattack. Um Enn wielt den Ugräifer d'Chiffertexter aus, an de Server veraarbecht se gehorsam. Den Haaptunterschied, deen dës Attacke liewensfäeg mécht an der realer Welt ass datt den Ugräifer keen Zougang zum aktuellen Transkript brauch - eng ServerÄntwert, och eng sou onschëlleg wéi "Invalid Dummy Text", ass genuch.
Wärend dësen speziellen Attack léierräich ass, gitt net zevill op d'Spezifizitéiten vum "Dummy Text" Schema, de spezifesche Kryptosystem benotzt oder déi exakt Sequenz vun de Messagen déi vum Ugräifer geschéckt ginn. D'Basis Iddi ass wéi d'Alice anescht reagéiert baséiert op d'Eegeschafte vum Kloertext, a mécht dat ouni z'iwwerpréiwen datt de entspriechende Chiffertext tatsächlech vun enger vertrauter Partei koum. Sou erlaabt d'Alice dem Ugräifer geheim Informatiounen aus sengen Äntwerten ze pressen.
Et gëtt vill wat an dësem Szenario geännert ka ginn. D'Symboler op déi d'Alice reagéiert, oder den Ënnerscheed an hirem Verhalen, oder souguer de benotzte Kryptosystem. Awer de Prinzip bleift d'selwecht, an d'Attack als Ganzt bleift an enger oder anerer Form liewensfäeg. D'Basis Ëmsetzung vun dësem Attack huet gehollef verschidde Sécherheetsbugs z'entdecken, déi mir kuerz kucken; awer fir d'éischt ginn et e puer theoretesch Lektioune fir ze léieren. Wéi benotzen ech dës fiktiv "Alice Skript" an engem Attack, deen op engem realen modernen Chiffer funktionéiere kann? Ass dat iwwerhaapt méiglech, och an der Theorie?
1998 huet de Schwäizer Kryptograf Daniel Bleichenbacher dës Fro affirméierend geäntwert. Hien huet en Orakelattack op de wäit benotzten ëffentleche Schlëssel Kryptosystem RSA bewisen, mat engem spezifesche Message Schema. A verschiddenen RSA-Implementatiounen reagéiert de Server mat verschiddene Fehlermeldungen ofhängeg ob de Kloertext mam Schema entsprécht oder net; dat war genuch fir den Ugrëff duerchzeféieren.
Véier Joer méi spéit, am Joer 2002, huet de franséische Kryptograf Serge Vaudenay en Orakel-Attack bewisen, bal identesch mat deem, deen am Alice-Szenario hei uewen beschriwwen ass - ausser datt amplaz vun engem fiktive Chiffer, huet hien eng ganz respektabel Klass vu modernen Chiffere gebrach, déi d'Leit tatsächlech benotzt ginn. Besonnesch, dem Vaudenay seng Attack zielt fixe Input Gréisst Chifferen ("Block Chiffer") wann se am sougenannte "CBC Verschlësselungsmodus" a mat engem bestëmmte populäre Padding Schema benotzt ginn, am Prinzip gläichwäerteg mat deem am Alice Szenario.
Och am Joer 2002, den amerikanesche Kryptograf John Kelsey - Co-Auteur - proposéiert verschidden Orakelattacken op Systemer déi Messagen kompriméieren an se dann verschlësselen. Am meeschte bemierkenswäert war en Attack, dee vun der Tatsaach profitéiert datt et dacks méiglech ass d'Originallängt vum Kloertext aus der Längt vum Chiffertext ofzeschléissen. An der Theorie erlaabt dëst en Orakelattack, deen Deeler vum urspréngleche Kloertext erëmhëlt.
Ënnert mir bidden eng méi detailléiert Beschreiwung vun de Vaudenay- a Kelsey-Attacke (mir ginn eng méi detailléiert Beschreiwung vum Bleichenbacher-Attack wa mir weidergoen op Attacken op ëffentlech Schlëssel-Kryptographie). Trotz eisem beschten Effort gëtt den Text e bëssen technesch; also wann dat hei uewen genuch fir Iech ass, sprangen déi nächst zwee Sektiounen.
Vodene d'Attack
Fir de Vaudenay Attack ze verstoen, musse mir als éischt e bësse méi iwwer Blockchiffer a Verschlësselungsmodi schwätzen. E "Block Chiffer" ass, wéi gesot, e Chiffer, deen e Schlëssel an en Input vun enger bestëmmter fixer Längt ("Blocklängt") hëlt an e verschlësselte Block vun der selwechter Längt produzéiert. Block Chiffer gi wäit benotzt a relativ sécher ugesinn. Den elo pensionnéierte DES, als den éischte modernen Chiffer ugesinn, war e Block Chiffer. Wéi uewen ernimmt, ass datselwecht wouer fir AES, déi haut vill benotzt gëtt.
Leider, Block Chifferen hunn eng opfälleg Schwäch. Déi typesch Blockgréisst ass 128 Bits, oder 16 Zeechen. Natierlech erfuerdert modern Kryptografie mat méi groussen Inputdaten ze schaffen, an dat ass wou Verschlësselungsmodi an d'Spill kommen. De Verschlësselungsmodus ass wesentlech en Hack: et ass e Wee fir iergendwéi e Blockchiffer z'applizéieren deen nëmmen Input vun enger gewësser Gréisst op Input vun enger arbiträrer Längt akzeptéiert.
Dem Vodene säin Attack konzentréiert sech op de populäre CBC (Cipher Block Chaining) Operatiounsmodus. D'Attack behandelt den ënnerierdesche Blockchiffer als eng magesch, imprägnéierbar schwaarz Këscht an ëmgeet seng Sécherheet komplett.
Hei ass en Diagramm dat weist wéi CBC Modus funktionnéiert:
Den ëmkreest Plus bedeit d'XOR (exklusiv ODER) Operatioun. Zum Beispill gëtt den zweete Block vum Chiffertext kritt:
- Andeems Dir eng XOR-Operatioun am zweete Kloertextblock mam éischte Chiffertextblock ausféiert.
- Verschlësselt de resultéierende Block mat engem Blockchiffer mat engem Schlëssel.
Zënter CBC esou schwéier Notzung vun der binärer XOR Operatioun mécht, loosst eis e Moment huelen fir e puer vu sengen Eegeschaften z'erënneren:
- Idempotenz:
- Kommutativitéit:
- Associativitéit:
- Selbstreversibilitéit:
- Byte Gréisst: Byte n vun = (Byte n vun ) (Byte n vun )
Typesch implizéieren dës Eegeschafte datt wa mir eng Equatioun hunn, déi XOR Operatiounen involvéiert an een onbekannt ass, et ka geléist ginn. Zum Beispill, wa mir dat wëssen mat dem Onbekannten a berühmt и , da kënne mir op déi uewe genannten Eegeschafte vertrauen fir d'Equatioun ze léisen . Andeems Dir XOR op béide Säiten vun der Equatioun mat , mir kréien . Dëst wäert all an engem Moment ganz relevant ginn.
Et ginn zwee kleng Differenzen an ee groussen Ënnerscheed tëscht eisem Alice Szenario an dem Vaudenay seng Attack. Zwee kleng:
- Am Skript huet d'Alice erwaart datt Kloertexter mat de Personnagen ophalen
a,bb,ccca sou weider. Am Wodene Attack erwaart d'Affer amplaz datt d'Klärtexter N Mol mam N Byte ophalen (dat ass hexadezimal 01 oder 02 02, oder 03 03 03, a sou weider). Dëst ass reng e kosmeteschen Ënnerscheed. - Am Alice Szenario war et einfach ze soen ob Alice d'Botschaft akzeptéiert huet duerch d'Äntwert "Inkorrekt Dummy Text." An der Attack vum Vodene ass méi Analyse erfuerderlech a präzis Ëmsetzung op der Säit vum Affer ass wichteg; mee fir d'Kuerzegkeet, loosst eis et als gegeben huelen datt dës Analyse nach ëmmer méiglech ass.
Haaptunterschied:
- Well mir net deeselwechte Kryptosystem benotzen, wäert d'Relatioun tëscht den Ugräifer-kontrolléierte Chiffertextbytes an de Geheimnisser (Schlëssel a Kloertext) selbstverständlech anescht sinn. Dofir muss den Ugräifer eng aner Strategie benotzen wann Dir Chiffertexter erstellt an Serverreaktiounen interpretéiert.
Dëse groussen Ënnerscheed ass dat lescht Stéck vum Puzzel fir de Vaudenay Attack ze verstoen, also loosst eis e Moment huelen fir nozedenken firwat a wéi en Orakelattack op CBC iwwerhaapt montéiert ka ginn.
Ugeholl mir kréien e CBC Chiffertext vun 247 Blocken, a mir wëllen et entschlësselen. Mir kënnen gefälschte Messagen un de Server schécken, sou wéi mir virdrun falsch Messagen un d'Alice schécken. De Server wäert d'Botschafte fir eis entschlësselen, awer wäert d'Entschlësselung net weisen - amplaz, erëm, wéi mat Alice, wäert de Server nëmmen e bëssen Informatioun mellen: ob de Kloertext gëlteg Padding huet oder net.
Bedenkt datt am Alice sengem Szenario mir déi folgend Bezéiungen haten:
$$display$$text{SIMPLE_SUBSTITUTION}(Text{Chiffertext},Text{Schlëssel}) = Text{plaintext}$$display$$
Loosst eis dëst "Alice senger Equatioun" nennen. Mir hunn de Chiffertext kontrolléiert; de Server (Alice) huet vague Informatioun iwwer de kritt Kloertext geleet; an dëst erlaabt eis Informatiounen iwwer de leschte Faktor ofzeschléissen - de Schlëssel. An Analogie, wa mir esou eng Verbindung fir de CBC Skript fannen, kënne mir och e puer geheim Informatioun do extrahéieren.
Glécklecherweis ginn et wierklech Relatiounen dobaussen déi mir kënne benotzen. Betruecht d'Ausgab vum finalen Uruff fir e Blockchiffer ze entschlësselen an dësen Ausgang als ze bezeechnen . Mir bezeechnen och Blocke vu Kloertext a Chiffertextblocken . Kuckt de CBC Diagramm nach eng Kéier a bemierkt wat geschitt:
Loosst eis dëst d'"CBC Equatioun" nennen.
Am Alice sengem Szenario, andeems mir de Chiffertext iwwerwaachen an de entspriechende Kloertext Leck kucken, konnte mir en Attack montéieren deen den drëtte Begrëff an der Equatioun erëmfonnt huet - de Schlëssel. Am CBC Szenario iwwerwaache mir och de Chiffertext a beobachten Informatiounsleken op de korrespondéierte Kloertext. Wann d'Analogie hält, kënne mir Informatiounen iwwer kréien .
Loosst eis unhuelen datt mir wierklech restauréiert hunn , wat dann? Ma, da kënne mir de ganze leschte Block vum Kloertext op eemol ausdrécken (), einfach duerch aginn (wat mir hunn) an
kritt an der CBC Equatioun.
Elo datt mir optimistesch sinn iwwer de Gesamtplang vum Attack, ass et Zäit d'Detailer auszeschaffen. Opgepasst w.e.g. genau wéi Kloertext Informatioun um Server leeft. Am Alice sengem Skript ass de Leck geschitt well d'Alice nëmme mat der korrekter Noriicht reagéiert wann $inline$text{SIMPLE_SUBSTITUTION}(text{ciphertext},text{key})$inline$ mat der Linn eriwwer ass a (oder bb, a sou weider, awer d'Chancen datt dës Konditiounen duerch Zoufall ausgeléist ginn, ware ganz kleng). Ähnlech wéi CBC, akzeptéiert de Server d'Padding wann an nëmmen wann endet an hexadezimal 01. Also loosst eis deeselwechten Trick probéieren: gefälschte Chiffertexter mat eisen eegene falsche Wäerter schécken bis de Server d'Fëllung acceptéiert.
Wann de Server eng Padding fir eng vun eise gefälschte Messagen acceptéiert, heescht dat:
Elo benotze mir d'Byte-Byte XOR Eegeschafte:
Mir kennen déi éischt an drëtt Begrëffer. A mir hu scho gesinn, datt dëst erlaabt eis de Rescht Begrëff ze recuperéieren - de leschten Byte aus :
Dëst gëtt eis och de leschte Byte vum leschte Kloertextblock iwwer d'CBC Equatioun an d'Byte-by-Byte Eegeschafte.
Mir kéinten et bei deem loossen an zefridden sinn, datt mir en Ugrëff op eng theoretesch staark Chiffer duerchgefouert hunn. Awer tatsächlech kënne mir vill méi maachen: mir kënnen tatsächlech all den Text recuperéieren. Dëst erfuerdert en Trick deen net am Alice sengem urspréngleche Skript war an net erfuerderlech ass fir den Orakelattack, awer et ass ëmmer nach derwäert ze léieren.
Fir et ze verstoen, bemierkt als éischt datt d'Resultat vum Ausgabe vum richtege Wäert vum leschte Byte ass Mir hunn eng nei Fäegkeet. Elo, wa mir Chiffertexter schmieden, kënne mir de leschte Byte vum entspriechende Kloertext manipuléieren. Erëm, dëst huet mat der CBC Equatioun an der Byte-by-Byte Eegeschafte ze dinn:
Well mir elo den zweete Begrëff kennen, kënne mir eis Kontroll iwwer den éischte benotzen fir den drëtten ze kontrolléieren. Mir berechnen einfach:
Mir konnten dat virdru net maachen, well mir de leschte Byte nach net haten .
Wéi wäert dat eis hëllefen? Ugeholl, mir kreéieren elo all Chiffertexter sou datt an den entspriechende Klartexter de leschte Byte gläich ass 02. De Server akzeptéiert elo nëmmen Padding wann de Kloertext op endet 02 02. Well mir de leschte Byte korrigéiert hunn, geschitt dat nëmme wann de virlässegste Byte vum Kloertext och 02 ass. Mir schécken ëmmer nach gefälschte Chiffertextblocken, ännert de virlässeg Byte, bis de Server d'Padding fir ee vun hinnen akzeptéiert. Zu dësem Zäitpunkt kréien mir:
A mir restauréieren de pénglescht Byte grad wéi déi lescht restauréiert gouf. Mir weider am selwechte Geescht: Mir korrigéieren déi lescht zwee Bytes vum Kloertext op 03 03, Mir widderhuelen dës Attack fir den drëtten Byte vum Enn a sou weider, schlussendlech komplett restauréiert .
Wat iwwer de Rescht vum Text? Maacht weg datt de Wäert ass eigentlech $inline$text{BLOCK_DECRYPT}(text{Schlëssel},C_{247})$inline$. Mir kënnen all aner Block amplaz setzen , an d'Attack wäert nach erfollegräich sinn. Tatsächlech kënne mir de Server froen $inline$text{BLOCK_DECRYPT}$inline$ fir all Donnéeën ze maachen. Zu dësem Zäitpunkt ass et eriwwer - mir kënnen all Chiffertext entschlësselen (kuckt nach eng Kéier op de CBC-Entschlësselungsdiagramm fir dëst ze gesinn; an notéiert datt de IV ëffentlech ass).
Dës speziell Method spillt eng entscheedend Roll am Orakelattack, dee mir spéider begéinen.
Kelseys Attack
Eise sympathesche John Kelsey huet d'Prinzipien ënnersträicht, déi vill méiglech Attacken ënnersträichen, net nëmmen d'Detailer vun engem spezifeschen Attack op e spezifesche Chiffer. Sengem ass eng Etude vu méiglechen Attacken op verschlësselte kompriméiert Daten. Hutt Dir geduecht datt d'Informatioun datt d'Date virum Verschlësselung kompriméiert goufen net genuch wier fir en Attack auszeféieren? Et stellt sech eraus datt et genuch ass.
Dëst iwwerraschend Resultat ass wéinst zwee Prinzipien. Als éischt gëtt et eng staark Korrelatioun tëscht der Längt vum Kloertext an der Längt vum Chiffertext; fir vill Chiffer exakt Gläichheet. Zweetens, wann d'Kompressioun duerchgefouert gëtt, gëtt et och eng staark Korrelatioun tëscht der Längt vun der kompriméierter Noriicht an dem Grad vun der "Kaméidi" vum Kloertext, dat heescht dem Undeel vun net widderhuelende Charakteren (den technesche Begrëff ass "héich Entropie" ).
Fir de Prinzip an Handlung ze gesinn, betruecht zwee Kloertexter:
Kloertext 1:
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAKloertext 2:
ATVXCAGTRSVPTVVULSJQHGEYCMQPCRQBGCYIXCFJGJ
Loosst eis unhuelen datt béid Plaintexter kompriméiert an dann verschlësselt sinn. Dir kritt zwee resultéierend Chiffertexter a musst roden wéi ee Chiffertext mat deem Kloertext entsprécht:
Chiffertext 1:
PVOVEYBPJDPVANEAWVGCIUWAABCIYIKOOURMYDTAChiffertext 2:
DWKJZXYU
D'Äntwert ass kloer. Ënnert de Kloertexter konnt nëmmen Kloertext 1 an déi mëll Längt vum zweete Chiffertext kompriméiert ginn. Mir hunn dat erausfonnt ouni eppes iwwer de Kompressiounsalgorithmus, de Verschlësselungsschlëssel oder souguer de Chiffer selwer ze wëssen. Am Verglach mat der Hierarchie vu méigleche kryptografeschen Attacken ass dëst eng Aart verréckt.
De Kelsey weist weider drop hin, datt ënner bestëmmten ongewéinlechen Ëmstänn dëse Prinzip och benotzt ka ginn fir en Orakelattack auszeféieren. Besonnesch beschreift et wéi en Ugräifer de geheime Kloertext recuperéieren kann wann hien de Server forcéiere kann d'Formdaten ze verschlësselen (de Kloertext gefollegt vun während hien d'Kontroll a kann iergendwéi d'Längt vun der verschlësselte Resultat kontrolléieren.
Erëm, wéi aner Orakelattacken, hu mir d'Relatioun:
Nach eng Kéier kontrolléiere mir ee Begrëff (), gesi mir e klenge Leck vun Informatioun iwwer en anere Member (Chiffertext) a probéieren dee leschte (Klengtext) ze recuperéieren. Trotz der Analogie ass dëst eng e bëssen ongewéinlech Situatioun am Verglach mat aneren Orakelattacken déi mir gesinn hunn.
Fir ze illustréieren wéi esou en Attack kéint funktionnéieren, loosst eis e fiktivt Kompressiounsschema benotzen, dee mir just erfonnt hunn: TOYZIP. Et sicht no Textlinnen déi virdru am Text opgetaucht sinn an ersetzt se mat dräi Plazhalterbytes, déi uginn wou eng fréier Instanz vun der Linn ze fannen ass a wéi oft se do erschéngt. Zum Beispill, d'Linn helloworldhello kann an kompriméiert ginn helloworld[00][00][05] 13 Bytes laang am Verglach zum Original 15 Bytes.
Ugeholl en Ugräifer probéiert de Kloertext vun enger Form ze recuperéieren password=..., wou d'Passwuert selwer onbekannt ass. Geméiss dem Kelsey sengem Attackmodell kann en Ugräifer de Server froen fir d'Formel Messagen ze kompriméieren an dann ze verschlësselen (Klengtext gefollegt vun ), wou - fräi Text. Wann de Server fäerdeg ass ze schaffen, bericht hien d'Längt vum Resultat. D'Attack geet esou:
Abriecher: W.e.g. kompriméiert a verschlësselt de Kloertext ouni Padding.
Server: Resultat Längt 14.
Abriecher: Kompriméiert a verschlësselt w.e.g. de Kloertext, op deen bäigefüügt ass
password=a.Server: Resultat Längt 18.
D'cracker Notize: [Original 14] + [dräi Bytes déi ersat password=] + a
Abriecher: Kompriméiert a verschlësselt w.e.g. de Kloertext, deen dobäigesat gëtt
password=b.Server: Resultat Längt 18.
Abriecher: Kompriméiert a verschlësselt w.e.g. de Kloertext, deen dobäigesat gëtt
password=с.Server: Resultat Längt 17.
D'cracker Notize: [Original 14] + [dräi Bytes déi ersat password=c]. Dëst gëtt ugeholl datt den originelle Kloertext d'String enthält password=c. Dat ass, d'Passwuert fänkt mat engem Bréif un c
Abriecher: Kompriméiert a verschlësselt w.e.g. de Kloertext, deen dobäigesat gëtt
password=сa.Server: Resultat Längt 18.
D'cracker Notize: [Original 14] + [dräi Bytes déi ersat password=с] + a
Abriecher: Kompriméiert a verschlësselt w.e.g. de Kloertext, deen dobäigesat gëtt
password=сb.Server: Resultat Längt 18.
(... E bësse méi spéit...)
Abriecher: Kompriméiert a verschlësselt w.e.g. de Kloertext, deen dobäigesat gëtt
password=со.Server: Resultat Längt 17.
D'cracker Notize: [Original 14] + [dräi Bytes déi ersat password=co]. Mat der selwechter Logik schléisst den Ugräifer of, datt d'Passwuert mat de Buschtawen ufänkt co
An esou weider bis de ganze Passwuert restauréiert ass.
De Lieser wier verginn fir ze denken datt dëst eng reng akademesch Übung ass an datt sou en Attackszenario ni an der realer Welt entstinn. Och, wéi mir geschwënn gesinn, ass et besser net op Kryptografie opzeginn.
Brand Schwachstelle: CRIME, POODLE, DROWN
Schlussendlech, nodeems mir d'Theorie am Detail studéiert hunn, kënne mir gesinn wéi dës Techniken an real-life kryptografeschen Attacken applizéiert ginn.
CRIME
Wann d'Attack op de Browser an d'Netz vum Affer riicht ass, sinn e puer méi einfach an e puer méi schwéier. Zum Beispill ass et einfach de Verkéier vum Affer ze gesinn: sëtzt just mat him am selwechte Café mat WiFi. Aus dësem Grond sinn potenziell Affer (dh jiddereen) allgemeng ugeroden eng verschlësselte Verbindung ze benotzen. Et wäert méi schwéier sinn, awer ëmmer nach méiglech, HTTP-Ufroen am Numm vum Affer op eng Drëtt-Partei-Site ze maachen (zum Beispill Google). Den Ugräifer muss d'Affer op eng béiswëlleg Websäit lackelen mat engem Skript deen d'Ufro mécht. De Webbrowser gëtt automatesch de passenden Sessiouns-Cookie.
Dëst schéngt erstaunlech. Wann de Bob goung evil.com, kéint de Skript op dësem Site just Google froen fir dem Bob säi Passwuert per E-Mail ze schécken [email protected]? Gutt, an der Theorie jo, awer a Wierklechkeet nee. Dëse Szenario gëtt e Cross-Site Ufro-Fälschungattack genannt (, CSRF), an et war populär ronderëm d'Mëtt vun den 90er. Haut wann evil.com probéiert dësen Trick, Google (oder all selbst respektéiert Websäit) äntwert normalerweis mat: "Super, awer Äre CSRF Token fir dës Transaktioun wäert ... um ... три триллиона и семь. W.e.g. widderhuelen dës Nummer." Modern Browser hunn eppes genannt "same-origin policy", woubäi Scripten um Site A keen Zougang zu Informatioun hunn, déi vun der Websäit B geschéckt gëtt. Also de Skript op evil.com kann Demanden schécken ze google.com, awer kann d'Äntwerten net liesen oder d'Transaktioun tatsächlech fäerdeg maachen.
Mir mussen ënnersträichen datt ausser de Bob eng verschlësselte Verbindung benotzt, all dës Schutz sinn sënnlos. En Ugräifer kann dem Bob säi Traffic einfach liesen an de Google Sessiouns-Cookie recuperéieren. Mat dësem Cookie wäert hien einfach en neie Google Tab opmaachen ouni säin eegene Browser ze verloossen an de Bob z'identifizéieren ouni pesky selwecht-Origine Politiken ze begéinen. Mee leider fir en Abriecher gëtt dat ëmmer manner heefeg. Den Internet als Ganzt huet laang de Krich géint onverschlësselte Verbindungen deklaréiert, an dem Bob säin erausgaangen Traffic ass wahrscheinlech verschlësselt, egal ob hien et gär huet oder net. Zousätzlech, vun Ufank un der Ëmsetzung vum Protokoll, Verkéier war och geschrumpft virun Verschlësselung; dëst war allgemeng Praxis fir latency ze reduzéieren.
Dëst ass wou et an d'Spill kënnt (Compression Ratio Infoleak Made Easy, einfach Leckage duerch d'Kompressiounsverhältnis). D'Schwachheet gouf am September 2012 vu Sécherheetsfuerscher Juliano Rizzo an Thai Duong opgedeckt. Mir hunn déi ganz theoretesch Basis schonn analyséiert, wat eis erlaabt ze verstoen wat se gemaach hunn a wéi. En Ugräifer kéint dem Bob säi Browser zwéngen, Ufroen u Google ze schécken an dann d'Äntwerten am lokalen Netzwierk an enger kompriméierter, verschlësselter Form ze lauschteren. Dofir hu mir:
Hei kontrolléiert den Ugräifer d'Ufro an huet Zougang zum Traffic Sniffer, och d'Paketgréisst. Dem Kelsey säi fiktive Szenario koum zum Liewen.
D'Theorie ze verstoen, hunn d'Auteuren vu CRIME en Exploit erstallt deen Sessiouns-Cookien fir eng breet Palette vu Siten klaue kann, dorënner Gmail, Twitter, Dropbox a Github. D'Schwachheet huet déi meescht modern Webbrowser beaflosst, wat dozou gefouert huet datt Patches verëffentlecht ginn, déi d'Kompressiounsfunktioun an SSL roueg begruewen sou datt se guer net benotzt ginn. Deen eenzege geschützt vun der Schwachstelle war den éierlechen Internet Explorer, deen iwwerhaapt ni SSL-Kompressioun benotzt huet.
POODLE
Am Oktober 2014 huet d'Google Sécherheetsteam Wellen an der Sécherheetsgemeinschaft gemaach. Si konnten eng Schwachstelle am SSL Protokoll ausnotzen, dee viru méi wéi zéng Joer gepatched gouf.
Et stellt sech eraus datt während d'Serveren déi glänzend nei TLSv1.2 lafen, vill hunn Ënnerstëtzung fir d'legacy SSLv3 fir Réckkompatibilitéit mat Internet Explorer 6 verlooss. Eng gutt orchestréiert Sabotage vum Handshake-Protokoll an d'Servere si prett fir op de gudden alen SSLv3 zréckzekommen, wesentlech déi lescht 15 Joer Sécherheetsfuerschung ofzeschafen.
Fir den historesche Kontext, :
Transport Layer Security (TLS) ass dee wichtegste Sécherheetsprotokoll um Internet. [..] bal all Transaktioun, déi Dir um Internet maacht, hänkt vun TLS of. [..] Mee TLS war net ëmmer TLS. De Protokoll huet säi Liewen ugefaang am genannt "Secure Sockets Layer" oder SSL. Gerüchter huet et datt déi éischt Versioun vum SSL sou schrecklech war datt d'Entwéckler all d'Ausdréck vum Code gesammelt hunn an se an enger geheimer Deponie zu New Mexico begruewen hunn. Als Konsequenz ass déi éischt ëffentlech verfügbar Versioun vu SSL tatsächlech . Et ass zimlech grujeleg, an [..] et war e Produkt vun der Mëtt vun den 90er Joren, wat modern Kryptografen als "" Vill vun den schrecklechsten kryptografeschen Attacken, déi mir haut wëssen, sinn nach net entdeckt ginn. Als Resultat goufen d'Entwéckler vum SSLv2 Protokoll am Wesentlechen verlooss fir hire Wee am Däischteren ze fummelen, a si hu sech konfrontéiert - zu hirem Trauer an eisem Benefice, well d'Attacke op SSLv2 wäertvoll Lektioune fir déi nächst Generatioun vu Protokoller hannerlooss hunn.
No dësen Eventer, am Joer 1996, huet e frustréiert Netscape den SSL Protokoll vun Null nei designt. D'Resultat war SSL Versioun 3, déi .
Glécklecherweis fir Abriecher heescht "e puer" net "all". Insgesamt huet SSLv3 all déi néideg Bausteng geliwwert fir e Vodene Attack ze starten. De Protokoll benotzt e CBC Modus Block Chiffer an en onsécher Padding Schema (dëst gouf an TLS korrigéiert; dofir d'Noutwendegkeet vun engem Downgrade Attack). Wann Dir un de Padding Schema an eiser ursprénglecher Beschreiwung vum Vaudenay Attack erënnert, ass de SSLv3 Schema ganz ähnlech.
Awer leider fir Abriecher heescht "ähnlech" net "identesch". D'SSLv3 Padding Schema ass "N zoufälleg Bytes gefollegt vun der Zuel N". Probéiert ënner dëse Konditiounen e imaginäre Block vu Chiffertext ze wielen an duerch all Schrëtt vum Vaudene sengem urspréngleche Schema ze goen: Dir wäert feststellen datt d'Attack erfollegräich de leschte Byte aus dem entspriechende Kloertextblock extrahéiert, awer net weider geet. All 16. Byte vum Chiffertext entschlësselen ass e super Trick, awer et ass keng Victoire.
Géint Versoen, huet d'Google Team op e leschten Auswee geruff: si hunn op e méi mächtege Bedrohungsmodell gewiesselt - deen an CRIME benotzt. Unzehuelen datt den Ugräifer e Skript ass, deen am Browser Tab vum Affer leeft a Sessiouns-Cookien extrahéiert, ass den Attack nach ëmmer beandrockend. Wärend de méi breede Bedrohungsmodell manner realistesch ass, hu mir an der viregter Sektioun gesinn datt dëse bestëmmte Modell machbar ass.
Gitt dës méi mächteg Ugräiferfäegkeeten, kann den Attack elo weidergoen. Notéiert datt den Ugräifer weess wou de verschlësselte Sessiouns-Cookie am Header erschéngt a kontrolléiert d'Längt vun der HTTP-Ufro virdru. Dofir ass et fäeg d'HTTP-Ufro ze manipuléieren sou datt de leschte Byte vum Cookie mam Enn vum Block ausgeriicht ass. Elo ass dëse Byte gëeegent fir Entschlësselung. Dir kënnt einfach e Charakter op d'Ufro derbäisetzen, an de leschte Byte vum Cookie bleift op der selwechter Plaz an ass gëeegent fir Selektioun mat der selwechter Method. D'Attack geet op dës Manéier weider bis d'Cookie-Datei komplett restauréiert ass. Et gëtt POODLE genannt: Padding Oracle on Downgraded Legacy Encryption.
ERDRENKEN
Wéi mir erwähnt hunn, hat SSLv3 seng Mängel, awer et war grondsätzlech anescht wéi säi Virgänger, well de leaky SSLv2 e Produkt vun enger anerer Ära war. Do kéint Dir de Message an der Mëtt ënnerbriechen: соглашусь на это только через мой труп verwandelt an соглашусь на это; de Client an de Server konnten sech online treffen, Vertrauen etabléieren an Geheimnisser austauschen virum Ugräifer, deen dann liicht béid kéint imitéieren. Et gëtt och de Problem mat Export Kryptografie, wat mir ugeschwat hunn wann Dir FREAK berücksichtegt. Dëst waren kryptografesch Sodom a Gomorra.
Am Mäerz 2016 ass eng Team vu Fuerscher aus verschiddenen technesche Beräicher zesummekomm an hunn eng iwwerraschend Entdeckung gemaach: SSLv2 gëtt nach ëmmer a Sécherheetssystemer benotzt. Jo, Ugräifer konnten net méi modern TLS Sessiounen op SSLv2 downgrade well dat Lach no FREAK a POODLE zougemaach gouf, awer si kënnen nach ëmmer mat Serveren verbannen an SSLv2 Sessiounen selwer initiéieren.
Dir kënnt froen, firwat mir egal wat se do maachen? Si hunn eng vulnérabel Sessioun, awer et sollt keng aner Sessiounen oder d'Sécherheet vum Server beaflossen - richteg? Gutt, net ganz. Jo, esou soll et an der Theorie sinn. Awer nee - well d'Generatioun vun SSL Certificaten eng gewësse Belaaschtung setzt, wat zu villen Serveren déi selwecht Certificaten an, als Resultat, déi selwecht RSA Schlëssele fir TLS an SSLv2 Verbindungen. Fir d'Saache méi schlëmm ze maachen, wéinst engem OpenSSL-Bug, huet d'Optioun "SSLv2 auszeschalten" an dëser populärer SSL-Implementatioun net wierklech geschafft.
Dëst huet méiglech eng Kräiz-Protokoll Attack op TLS, genannt (Entschlësselt RSA mat obsoleten a geschwächt Verschlësselung, Entschlësselung vun RSA mat obsoleten a geschwächt Verschlësselung). Erënneren, datt dëst net d'selwecht ass wéi eng kuerz Attack; den Ugräifer brauch net als "Mann an der Mëtt" ze handelen a brauch de Client net ze bedeelegen fir un enger onsécherer Sessioun deelzehuelen. Ugräifer initiéieren einfach eng onsécher SSLv2 Sessioun mam Server selwer, attackéieren de schwaache Protokoll an recuperéieren de RSA private Schlëssel vum Server. Dëse Schlëssel ass och valabel fir TLS Verbindungen, a vun dësem Punkt un wäert kee Betrag vun TLS Sécherheet verhënneren datt et kompromittéiert gëtt.
Awer fir et ze knacken, braucht Dir e schaffende Attack géint SSLv2, wat Iech erlaabt net nëmmen spezifesche Verkéier ze recuperéieren, awer och de geheime RSA-Serverschlëssel. Och wann dëst e komplexe Setup ass, kënnen d'Fuerscher all Schwachstelle wielen, déi nom SSLv2 komplett zougemaach gouf. Si hunn schlussendlech eng passend Optioun fonnt: de Bleichenbacher-Attack, dee mir virdru ernimmt hunn an déi mir am nächsten Artikel am Detail erklären. SSL an TLS si geschützt vun dësem Attack, awer e puer zoufälleg Feature vun SSL, kombinéiert mat kuerze Schlësselen an Export-Grad Kryptografie, hunn et méiglech gemaach .
Zu der Zäit vun der Verëffentlechung waren 25% vun den Top-Site vum Internet vun der DROWN Schwachstelle betraff, an d'Attack konnt mat bescheidenen Ressourcen duerchgefouert ginn, déi och fir béisaarteg eenzeg Hacker verfügbar sinn. De RSA-Schlëssel vum Server zréckzéien erfuerdert aacht Stonne Berechnung an $ 440, an SSLv2 ass vun eeler op radioaktiv gaangen.
Waart, wat iwwer Heartbleed?
Dëst ass net eng cryptographic Attack am Sënn uewen beschriwwen; Dëst ass e Puffer Iwwerschwemmung.
Loosst eis eng Paus maachen
Mir hunn ugefaang mat e puer grondleeënd Techniken: brute Kraaft, Interpolatioun, Downgrading, Cross-Protokoll, a Precomputation. Duerno hu mir eng fortgeschratt Technik gekuckt, vläicht den Haaptkomponent vun modernen kryptografeschen Attacken: den Orakelattack. Mir hunn zimmlech Zäit verbruecht et erauszefannen - a verstanen net nëmmen de Basisprinzip, awer och d'technesch Detailer vun zwou spezifeschen Implementatiounen: de Vaudenay Attack op de CBC Verschlësselungsmodus an de Kelsey Attack op Pre-Kompressiounsverschlësselungsprotokoller.
Beim Iwwerpréiwung vun Downgrade- a Precomputation-Attacke, hu mir de FREAK-Attack kuerz beschriwwen, déi béid Methode benotzt andeems Zilsiten op schwaache Schlësselen erofgraden an dann déiselwecht Schlësselen erëmbenotzen. Fir den nächsten Artikel späichere mir den (ganz ähnlechen) Logjam Attack, deen ëffentlech Schlëssel Algorithmen zielt.
Mir hunn dann op dräi weider Beispiller vun der Uwendung vun dëse Prinzipien gekuckt. Als éischt, CRIME a POODLE: zwee Attacken, déi op d'Fäegkeet vum Ugräifer vertraut hunn, arbiträr Kloertext nieft dem Zil-Klärtext z'injizéieren, dann iwwerpréift d'Äntwerten vum Server an dann, benotzt d'Orakelattackmethodologie, exploitéiert dës spatzen Informatioun fir, deelweis de Kloertext ze recuperéieren. CRIME goung de Wee vum Kelsey Attack op SSL Kompressioun, während POODLE amplaz eng Variant vum Vaudenay Attack op CBC mat deemselwechten Effekt benotzt huet.
Mir hunn dann eis Opmierksamkeet op de Cross-Protokoll DROWN Attack gedréint, deen eng Verbindung mam Server mat dem legacy SSLv2 Protokoll etabléiert an dann d'Geheimschlësselen vum Server erholen mat dem Bleichenbacher Attack. Mir hunn d'technesch Detailer vun dësem Attack fir de Moment iwwersprangen; wéi Logjam, et muss waarden bis mir e gutt Verständnis vun ëffentleche Schlëssel Kryptosystemer an hir Schwachstelle hunn.
Am nächsten Artikel schwätze mir iwwer fortgeschratt Attacke wéi Meet-in-the-Mëtt, Differential Kryptoanalyse a Gebuertsdagsattacken. Loosst eis e séieren Agrëff an Säit-Kanal Attacken huelen, a gitt dann op de Spaass Deel: ëffentlech Schlëssel Kryptosystemer.
Source: will.com